Mark J Cox, uno de los miembros fundadores de Apache Software Foundation y del proyecto OpenSSL, publicó hoy una Pío advirtiendo a los usuarios sobre una falla importante descubierta recientemente en el software Apache HTTP Server.

El servidor web Apache es uno de los servidores web de código abierto más populares y ampliamente utilizados en el mundo que alimenta casi el 40 por ciento de todo Internet.

La vulnerabilidad, identificada como CVE-2019-0211fue descubierto por Carlos Folun ingeniero de seguridad de la firma Ambionics Security, y parcheado por los desarrolladores de Apache en la última versión 2.4.39 de su software lanzada hoy.

La falla afecta a las versiones 2.4.17 a 2.4.38 del servidor Apache HTTP y podría permitir que cualquier usuario con menos privilegios ejecute código arbitrario con privilegios de root en el servidor de destino.

«En Apache HTTP Server 2.4 versiones 2.4.17 a 2.4.38, con evento MPM, trabajador o prefork, el código que se ejecuta en subprocesos o procesos secundarios menos privilegiados (incluidos los scripts ejecutados por un intérprete de scripting en proceso) podría ejecutar código arbitrario con los privilegios del proceso principal (generalmente raíz) al manipular el marcador. Los sistemas que no son Unix no se ven afectados «, dice el aviso.

Aunque el investigador aún no ha publicado un código de explotación de prueba de concepto (PoC) funcional para esta falla, Charles publicó hoy una publicación de blog que explica cómo un atacante puede explotar esta falla en 4 pasos mencionados anteriormente:

1. Obtenga acceso R / W en un proceso de trabajo,
2. Escriba una estructura prefork_child_bucket falsa en el SHM,
3. Hacer todos_los_cubos[bucket] señalar la estructura,
4. Espere a las 6:25 a. m. para recibir una llamada de función arbitraria.

Según Cox, la vulnerabilidad es más preocupante para los servicios de alojamiento web compartido, donde los clientes malintencionados o un pirata informático con la capacidad de ejecutar scripts PHP o CGI en un sitio web pueden hacer uso de la falla para obtener acceso de root en el servidor, comprometiendo eventualmente todos los demás. sitios web alojados en el mismo servidor.

Además de esto, la última versión de Apache httpd 2.4.39 también corrige tres problemas de baja gravedad y otros dos importantes.

La segunda falla importante (CVE-2019-0217) podría permitir que «un usuario con credenciales válidas se autentique con otro nombre de usuario, sin pasar por las restricciones de control de acceso configuradas».

La tercera vulnerabilidad es una omisión de control de acceso mod_ssl (CVE-2019-0215), «un error en mod_ssl cuando se usaba la verificación de certificado de cliente por ubicación con TLSv1.3 permitía que un cliente compatible con la autenticación posterior al protocolo de enlace eludiera las restricciones de control de acceso configuradas».

Hemos visto cómo las revelaciones previas de fallas graves en los marcos de las aplicaciones web han resultado en la publicación de exploits de PoC en un día y la explotación en la naturaleza, poniendo en riesgo la infraestructura crítica y los datos de los clientes.

Por lo tanto, se recomienda encarecidamente a los servicios de alojamiento web, las organizaciones que gestionan sus propios servidores y los administradores de sitios web que actualicen sus instancias Apache HTTP a las últimas versiones lo antes posible.